Обеспечение непрерывности бизнес-процессов и управление кризисными ситуациями
В настоящее время невозможно представить себе бизнес без использования информационных технологий в XXI веке. С их помощью компании становятся эффективнее и конкурентоспособнее. Однако, вместе с этим, информационные технологии могут представлять и значительные риски для компаний.
При оборудовании важнейших бизнес-процессов информационными технологиями, постоянная работа ИТ сервисов становится ключевым элементом. В случае, если сервисы перестают работать, то компания сталкивается с некоторыми негативными последствиями. Лучшим случаем является временное простое и возможные возмещения финансовых убытков, а худший сценарий - это катастрофические последствия делового провала.
Профилактика от подобных сценариев - это обеспечение безопасности и независимости в работе информационных технологий, и наша статья объяснит, как это достичь.
Когда дело касается использования информационных технологий в бизнесе, обеспечение бесперебойности процессов становится еще более важным. Предприятия, занятые в кредитно-финансовой, телекоммуникационной, высокотехнологичной и производственной отраслях, особенно нуждаются в продуманной системе кризис-менеджмента. Однако, это также актуально для ритейла, электронной коммерции, государственного сектора и любой другой отрасли, где поставлены задачи по обеспечению непрерывности деятельности компании.
Существуют специальные регламенты, которые соблюдаются для лицензирования деятельности в ряде отраслей и указывают на необходимость непрерывности бизнеса. Риск сбоя в работе информационно-технических сервисов может иметь колоссальные материальные потери для банков и жизнь людей - если инцидент произойдет, например, в авиакомпании или на предприятии топливно-энергетического комплекса.
Риски могут возникнуть из-за природных бедствий, аварий в энергосистемах или киберпреступлений. При этом, уровень риска определяется последствиями инцидента для деловых процессов и функций. В связи с многообразием рисков, обеспечение информационной безопасности (ИБ) является актуальной и несомненно необходимой задачей.
В 2019 году компания DEAC провела опрос и выяснила, что решения по обеспечению бесперебойности процессов наиболее востребованы в финансовой и информационной сферах. Риск непрерывности бизнеса связанных с ИБ и изменениями в законодательстве страны является наиболее серьезным согласно данному опросу. Почти половина респондентов считает, что в ближайшее время эти риски будут только расти.
BCM (Business Continuity Management), BCP (Business Continuity Planning) и DRP (Disaster Recovery Planning) являются инструментами кризис-менеджмента, которые обеспечивают безопасность бизнеса в целом. Они вытекают из системы ИБ и следуют основным принципам анализа рисков появления и влияния чрезвычайных ситуаций на деловые процессы, контроля и управления инцидентами, а также стратегического и тактического планирования непрерывности информационно-коммуникационных технологий (ИКТ). BCM (BCP & DRP) широко применяются и регулируются международными, национальными и отраслевыми стандартами, такими как ISO/IEC 27001 и ISO 22301:2012. Обеспечение соответствия требованиям данных стандартов при выборе дата-центра для хранения информации или при внедрении их на предприятии, гарантирует безопасность данных и непрерывность бизнес-процессов.
Тем не менее, BCM, BCP и DRP не являются тождественными управлению ИБ, которое является лишь основой для данных дисциплин. BCM начинался с резервного копирования информации, но постепенно охватил вопросы ИБ и стал целостной структурой, взглядов на методы обеспечения непрерывности бизнеса, устойчивости организации к различным сбоям, разрушениям и потерям.
Управление непрерывностью бизнеса (BCM) является важным аспектом для любой организации. Приоритетные цели и задачи BCM зависят от масштаба и сферы деятельности, и во главу угла ставится управление определенным типом или классом взаимосвязанных инцидентов.
Один из основных комплексов происшествий, рассмотриваемых в рамках BCM, это управление инцидентами или Incident management (IM). Данный уровень охватывает целый комплекс происшествий высокой и средней вероятности возникновения. Задачи и цели IM — обеспечить сохранность, доступность и целостность информации, а также отказоустойчивость оборудования.
Другим важным комплексом в рамках BCM является управление непрерывностью бизнеса и аварийным восстановлением, или Business continuity & disaster recovery management. Он направлен на предотвращение инцидентов, которые могут привести к приостановке работы всей организации или ее важнейших бизнес-процессов. По исследованию, проведенному компанией Veeam Software в 2019 году, ежегодные мировые потери от простоев приложений превышают 20 млн долларов, а по России эта цифра немного ниже — 19,8 млн долларов.
Еще одним комплексом BCM является управление чрезвычайными (кризисными) ситуациями, или Crisis & emergency management. Он ставит своей задачей предупреждение крайне редких, но катастрофических по последствиям инцидентов, таких как экологические и гуманитарные катаклизмы или инфраструктурные разрушения в границах целого региона. В подобных случаях, высокий уровень обеспечения непрерывности деятельности предприятий необходим.
Ключевым понятием в управлении непрерывностью бизнеса (BCM) выступает «инцидент», под которым понимается любое незапланированное, внезапное происшествие, событие, ведущее к остановке ключевых и критичных процессов и функций, полной потере контроля над оборудованием. Недооценка влияния инцидентов на непрерывность бизнеса может привести к драматическим последствиям.
Примером тому служит компьютерная атака на мировом уровне, случившаяся 12 мая 2017 года, когда компьютеры по всему миру были атакованы вирусом-вымогателем WannaCry. Он шифровал файлы на устройствах, а для восстановления доступа к ним требовал выкуп. Параллельно с тем, WannaCry атаковал более 200 стран, сильнее всего пострадали Россия, Украина, Индия и Тайвань, и привел к остановке работы больниц, аэропортов, заводов и банков. Экономические потери, нанесенные данной кибератакой, составили около 4 млрд долларов.
Полтора месяца спустя, инцидент повторился, но уже с другой вредоносной программой – вирусом Petya. Российские и украинские компании понесли самые масштабные потери от него, исходя из данных исследований. Внедрение и применение программ BCM позволило бы значительно сократить размеры потерь, а возможно, и вовсе избежать катастрофических происшествий.
The Impact of Catastrophes on Shareholder Value (Rory J. Knight и Deborah J. Pretty) показывает, что кумулятивный доход сверх нормы компаний, успешно восстановивших деятельность после крупномасштабной аварии, через год составляет в среднем 10%. Корпорации, не внедрившие BCM, получают те же 10% и даже 15%, но уже со знаком минус. Управление непрерывностью бизнеса является залогом сохранности вложенных владельцами и акционерами средств, а также возможности и продолжительности работы предприятия.
Внедрение BCM: какие этапы необходимо пройти
Планирование и стратегия - так начинается управление непрерывностью бизнеса (BCM). В этом процессе часто используются инструменты риск-менеджмента (RM). Чтобы реализовать BCM в организации, необходимо пройти целый ряд этапов. Они включают в себя овладение техническими и программными средствами, регламентацию действий, распределение ответственности и обучение персонала. Взять на себя эти задачи компании может быть проблематично. В таком случае стоит обратиться за помощью к ИТ-экспертам. Они не только разработают план мероприятий и найдут наилучшие решения для компании, но и помогут перевести проект в реальность.
Риск-анализ и оценка важности бизнес-процессов являются неотъемлемой составляющей для любой организации, независимо от ее масштабов и сферы деятельности. Однако, точки критичности для каждой компании могут значительно отличаться. Например, для медицинских учреждений все учетные системы критичны, в то время как для телекоммуникационной компании может быть критичен только сбой в системе биллинга. Поэтому, анализ бизнес-процессов помогает выделить эти точки критичности.
Кроме того, риски можно разделить на зависимые и независимые от IT. Сначала необходимо определить IT-зависимые бизнес-процессы и затем выделить угрозы, которые могут оказать влияние на них. Затем проводится оценка воздействия на бизнес, чтобы понять, как изменение в IT-процессах влияет на ключевые бизнес-процессы. Оценить можно количественно и качественно, например деловую репутацию, рыночную стоимость, уровень операционных издержек и т.д. В результате получается карта ключевых бизнес-процессов с указанием нарушений, способных привести к убыткам. Эта информация помогает разработать меры по предотвращению возможных угроз, увеличивая непрерывность деловой активности компании.
Обеспечение точности информации о финансах представляет существенный интерес для аналитиков, особенно если была заполучена возможность оценить IT-бизнес компании и перспективы его расширения.
Рекомендуется тщательно изучить информационные сервисы, которые используются в бизнес-процессах и информационных потоках. Несомненным результатом анализа будет представлена полная картина бизнеса в целом, включая оценку критичных бизнес-процессов, которые были столкнуты с нарушениями в работе, полученными в результате их функционирования в соотношении с величиной потерь.
Перед началом сотрудничества важно провести аудит, который позволит аналитикам определить все уязвимые места в системе защиты информации клиента и подобрать наилучшие меры для их укрепления.
Для подсчета экономического эффекта (стоимости простоя бизнес-процессов) следует использовать объективные оценки вероятности возникновения разных инцидентов в рассматриваемый период времени и выбрать наиболее приемлемую стратегию на основе этих данных.
Согласно экспертам, наличие ясного плана действий в экстренных ситуациях является фундаментальным для успешной защиты бизнеса и его операционной деятельности. В этом контексте, компании необходимо определиться с так называемыми тайм-аутами и производительной мощностью для отдельных бизнес-процессов в случае ЧС в сотрудничестве с аналитиками.
Первоначально, необходимо установить допустимое время восстановления (RTO), то есть интревал вынужденного простоя, который может быть технически сведен к секундам, однако не всегда оправдывает экономические затраты. Кроме того, также нужно определить целевую точку восстановления (RPO) - временной диапазон перед наступлением ЧС, за который все данные могут быть утрачены. В настоящее время, данный интервал может быть практически равен нулю, благодаря частоте и доступности технологий резервного копирования информации.
Наконец, последним этапом является определение уровня непрерывности бизнеса (LBC) - допустимого уровня производительности в случае ЧС в процентах от режима штатной работы. Этот параметр позволяет оценить, насколько быстро и эффективно компания может восстановить свою работоспособность после возникновения нежелательной ситуации.
Таким образом, правильно определенные тайм-ауты и производительная мощность являются важными компонентами бизнес-защиты и могут значительно уменьшить риски потенциального ущерба компании в экстренных ситуациях.
Планирование – это процесс, который должен быть постоянным и динамическим, а не отдельной процедурой, и важно поддерживать его в актуальном и "синхронизированном" состоянии. Для этого необходимо регулярно проверять планы и дополнять их свежими данными по мере необходимости.
Определение стратегии непрерывности бизнеса является ключевым этапом планирования. Эта стратегия должна включать меры по обеспечению безопасности сотрудников, обеспечению рабочих помещений, технических средств и необходимых материалов, доступ к критической информации, а также обеспечивать беспрепятственные коммуникации с партнерами, клиентами, поставщиками и другими заинтересованными сторонами. Каждое направление должно иметь отдельную подстратегию, которая поможет "навигировать" к скорейшему восстановлению в соответствии с параметрами, определенными на этапах анализа рисков. Обеспечение непрерывности ссылается на три стадии: реагирование на ЧС, продолжение выполнения критически важных процессов для бизнеса в условиях ЧС и восстановление штатной работы.
Выбор организационных и технических решений зависит от стратегии BCM (Business Continuity Management). Необходимо разработать политики, которые определят приоритетные цели и задачи поддержания непрерывности бизнеса, процедуры реагирования и области распространения системы BCM, а также установить кадровые потребности и степень вовлеченности персонала в реализацию программы внедрения BCM (проекта).
Создание технической и организационной системы BCM очень важно для непрерывности бизнеса. В настоящее время все большую популярность приобретают "облачные" услуги. Одним из решений для защиты информации при помощи облака является DRaaS (Disaster-Recovery-as-a-Service). Суть этого решения заключается в том, чтобы предоставить услугу аварийного восстановления данных в облачных средах корпоративного уровня. Это позволяет снизить расходы на обеспечение безопасности и одновременно поддерживать ее на уровне принятых в индустрии стандартов. Существуют разные варианты, но все они основаны на резервном копировании ИТ-инфраструктуры или ее наиболее критичных элементов.
Согласно первому варианту резервные копии ИТ-инфраструктуры создаются по расписанию, который задается в соответствии с требуемым временем восстановления (RTO) и точкой восстановления (RPO), а затем помещаются в хранилище. Восстановление занимает до нескольких часов. Такая схема подходит для малого бизнеса, где непрерывность не является критичной, но важна экономия и надежность сохранения данных. Однако, такое резервное копирование не обеспечивает комплексную защиту.
Второй вариант заключается в том, чтобы копировать все инфраструктуру, а изменения проводить в непрерывном режиме, чтобы они переносились в облако. Информацию можно извлечь и восстановить за несколько минут.
Третий вариант заключается в том, чтобы запустить резервную облачную инфраструктуру, которая будет полностью идентичной основной. Обновления в обоих инфраструктурах происходят синхронно, что позволяет восстанавливать работу за несколько секунд. Такое решение актуально для крупных финансовых и ИТ-компаний, государственных организаций и любых других компаний, где нельзя терять ни минуты на простой.
Строительство отказоустойчивых ЦОДов становится все более актуальным для бизнеса, и это может быть необходимо как для создания новых, так и для оптимизации уже существующих центров обработки данных. Этого можно достичь путем проведения комплекса мероприятий, включающих в себя строительство специализированных зданий, а также инженерных, телекоммуникационных и ИТ-инфраструктур, их автоматизацию и сервисное обслуживание.
Существует также возможность создания мобильного ЦОДа. Однако, для более простого решения данной задачи, компании могут доверить организацию ИТ-инфраструктуры опытному провайдеру.
Развитие бизнеса обычно сопровождается увеличением вычислительных мощностей и усложнением ИТ-систем, что может привести к риску нарушения непрерывности деловой активности. Именно поэтому компаниям необходим план восстановления системы после инцидента (DRP), который является частью большего плана обеспечения непрерывности бизнеса (BCP). Данный план призван обеспечить максимально быстрое восстановление работоспособности ИТ-систем, поддерживающих как критичные бизнес-процессы, так и обычные операции. BCP, в свою очередь, должен предусматривать восстановление бизнес-процессов в целом.
Для обеспечения нормального функционирования системы необходима формирование программы сопровождения и эксплуатации систем BCM, включающую меры по периодической проверке системы, а также реагированию обслуживающего персонала на возникновение инцидентов.
Наконец, встраивание процессов в корпоративную культуру играет важную роль на пути к успешному планированию восстановления после происшествий. Для этого необходимо разработать меры и осведомить персонал о мерах, принимаемых в случае возникновения угроз, а также о мерах по устранению последствий внештатной ситуации. Компетентный персонал является ключевым фактором успеха на этом этапе.
Одним из ключевых аспектов успешной работы предприятия является внедрение высокоэффективной системы управления. Однако, необходимо учитывать, что внедрение информационных технологий требует значительных ресурсов, которых не всегда хватает у компаний.
Одним из показателей успешности внедрения в систему управления является готовность организации к продолжению работы даже в случае сбоя в ИТ-системах. Координированный противопожарный механизм и подготовленный персонал являются главными условиями для быстрого реагирования в экстренной ситуации и, в свою очередь, позволяют сохранять работоспособность компании.
Кроме того, необходимо также учитывать вероятность простоя или недоступности информационных систем в случае возникновения внештатной ситуации, что может привести к значительным материальным потерям. Правильно оцененная рискованность и защитные меры помогут свести к минимуму возможные негативные последствия.
Другим показателем эффективности внедрения системы является соответствие требованиям регулирующих органов. Пройдя процедуру аудита и полностью соответствуя требованиям, компания приобретает надежность и доверие со стороны заказчиков и партнеров.
Однако, стоит учитывать, что создание и внедрение высокоэффективной системы управления – непростая задача, требующая значительных затрат и временных ресурсов. Такие ресурсы далеко не всегда доступны для каждой компании, поэтому часто необходимо прибегать к внешней помощи.
Фото: freepik.com